|
Trojaner TR/dropper.gen Hi. Ich habe mir diesen Trojaner eingefangen. In einem anderen Thread habe ich gelesen das man MWAV (eScan) - Free Antivirus und danach Sillentrunners benutzen soll und die Ergebnisse posten soll. Hab das mal gemacht. Hoffe ihr könnt mir helfen das Ding wieder los zu werden. MWAV (eScan) - Free Antivirus Ergebnis Das Ergebnis ist zu lang um es hier zu posten. Ich werde es per E-Mail zuschicken wenn ich eine Antwort bekomme. Und hier ist das Ergebnis von Silentrunners. "Silent Runners.vbs", revision 61, hxxp://www.silentrunners.org/ Operating System: Windows XP SP3 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "avgnt" = ""C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min /nosplash" ["Avira GmbH"] "RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."] "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "SsAAD.exe" = "G:\Sony\SsAAD.exe" [null data] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {18DF081C-E8AD-4283-A596-FA578C2EBDC3}\(Default) = "AcroIEHelperStub" -> {HKLM...CLSID} = "Adobe PDF Link Helper" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll" ["Adobe Systems Incorporated"] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {HKLM...CLSID} = "Spybot-S&D IE Protection" \InProcServer32\(Default) = "E:\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] {DBC80044-A445-435b-BC74-9C25C1C588A9}\(Default) = (no title provided) -> {HKLM...CLSID} = "Java(tm) Plug-In 2 SSV Helper" \InProcServer32\(Default) = "C:\Programme\Java\jre6\bin\jp2ssv.dll" ["Sun Microsystems, Inc."] {E7E6F031-17CE-4C07-BC86-EABFE594F69C}\(Default) = "JQSIEStartDetectorImpl" -> {HKLM...CLSID} = "JQSIEStartDetectorImpl Class" \InProcServer32\(Default) = "C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll" ["Sun Microsystems, Inc."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{EFA24E62-B078-11d0-89E4-00C04FC9E26E}" = "History Band" -> {HKLM...CLSID} = "History Band" \InProcServer32\(Default) = "C:\WINDOWS\system32\shdocvw.dll" [MS] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" ["Alexander Roshal"] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\msohevi.dll" [MS] "{993BE281-6695-4BA5-8A2A-7AACBFAAB69E}" = "Microsoft Office Metadata Handler" -> {HKLM...CLSID} = "Microsoft Office Metadata Handler" \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS] "{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97}" = "Microsoft Office Thumbnail Handler" -> {HKLM...CLSID} = "Microsoft Office Thumbnail Handler" \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\Programme\NVIDIA Corporation\nView\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\NVIDIA Corporation\nView\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\Programme\NVIDIA Corporation\nView\nvshell.dll" ["NVIDIA Corporation"] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir Desktop\shlext.dll" ["Avira GmbH"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ "WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}" -> {HKLM...CLSID} = "WPDShServiceObj Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS] HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\ <<!>> text/xml\CLSID = "{807563E5-5146-11D5-A672-00B0D022E945}" -> {HKLM...CLSID} = "Microsoft Office InfoPath XML Mime Filter" \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL" [MS] HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\ <<!>> ms-help\CLSID = "{314111c7-a502-11d2-bbca-00c04f8ec294}" -> {HKLM...CLSID} = "HxProtocol Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll" [MS] HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ MyPhoneExplorer\(Default) = "{A372C6DF-7A85-41B1-B3B0-D1E24073DCBF}" -> {HKLM...CLSID} = "MyPhoneExplorer_ShellEx.ShellExt" \InProcServer32\(Default) = "G:\MyPhoneExplorer\DLL\ShellMgr.dll" ["F.J. Wechselberger"] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir Desktop\shlext.dll" ["Avira GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" ["Alexander Roshal"] HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" ["Alexander Roshal"] HKLM\SOFTWARE\Classes\Directory\shellex\DragDropHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" ["Alexander Roshal"] HKLM\SOFTWARE\Classes\Directory\Background\shellex\ContextMenuHandlers\ 00nView\(Default) = "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\Programme\NVIDIA Corporation\nView\nvshell.dll" ["NVIDIA Corporation"] NvCplDesktopContext\(Default) = "{A70C977A-BF00-412C-90B7-034C51DA2439}" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir Desktop\shlext.dll" ["Avira GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" ["Alexander Roshal"] HKLM\SOFTWARE\Classes\Folder\shellex\DragDropHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" ["Alexander Roshal"] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ "ForceClassicControlPanel" = (REG_DWORD) dword:0x00000001 {unrecognized setting} "NoRecentDocsMenu" = (REG_DWORD) dword:0x00000001 {unrecognized setting} "NoRecentDocsHistory" = (REG_DWORD) dword:0x00000001 {unrecognized setting} "NoSMMyPictures" = (REG_DWORD) dword:0x00000001 {User Configuration|Administrative Templates|Start Menu and Taskbar| Remove My Pictures icon from Start Menu} "NoSMHelp" = (REG_DWORD) dword:0x00000001 {User Configuration|Administrative Templates|Start Menu and Taskbar| Remove Help menu from Start Menu} "NoSMConfigurePrograms" = (REG_DWORD) dword:0x00000001 {unrecognized setting} "NoDesktopCleanupWizard" = (REG_DWORD) dword:0x00000001 {unrecognized setting} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ "NoDesktopCleanupWizard" = (REG_DWORD) dword:0x00000001 {unrecognized setting} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Windows Portable Device AutoPlay Handlers ----------------------------------------- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\ MSWPDShellNamespaceHandler\ "Provider" = "@%SystemRoot%\System32\WPDShextRes.dll,-501" "CLSID" = "{A55803CC-4D53-404c-8557-FD63DBA95D24}" "InitCmdLine" = " " -> {HKLM...CLSID} = "WPDShextAutoplay" \LocalServer32\(Default) = "C:\WINDOWS\system32\WPDShextAutoplay.exe" [MS] SonyPlayCDAudioSonicStage\ "Provider" = "@G:\Sony\OmgjboxRes.dll,-57344" "InvokeProgID" = "SonyAudioCDSonicStage" "InvokeVerb" = "play" HKLM\SOFTWARE\Classes\SonyAudioCDSonicStage\shell\play\command\(Default) = "G:\Sony\Omgjbox.exe /cdplay -"%L"" ["Sony Corporation"] SonyRecCDAudioSonicStage\ "Provider" = "@G:\Sony\OmgjboxRes.dll,-57344" "InvokeProgID" = "SonyAudioCDRecSonicStage" "InvokeVerb" = "play" HKLM\SOFTWARE\Classes\SonyAudioCDRecSonicStage\shell\play\command\(Default) = "G:\Sony\Omgjbox.exe /cdrecord -"%L"" ["Sony Corporation"] SonySonicStageBurnCDOnArrival\ "Provider" = "@G:\Sony\OmgjboxRes.dll,-57344" "InvokeProgID" = "SonyBurnCDSonicStage" "InvokeVerb" = "open" HKLM\SOFTWARE\Classes\SonyBurnCDSonicStage\shell\open\command\(Default) = "G:\Sony\Omgjbox.exe" ["Sony Corporation"] Startup items in "Administrator" & "All Users" startup folders: --------------------------------------------------------------- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart "Trillian" -> shortcut to: "G:\Trillian\trillian.exe" ["Cerulean Studios"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 00000000000#\PackedCatalogItem (contains) DLL [Company Name], (at) # range: %SystemRoot%\system32\mswsock.dll [MS], 1 - 3, 6 %SystemRoot%\system32\rsvpsp.dll [MS], 4 - 5 Toolbars, Explorer Bars, Extensions: ------------------------------------ Explorer Bars HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\ HKLM\SOFTWARE\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren" Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL" [MS] Extensions (Tools menu items, main toolbar menu buttons) HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\ {92780B25-18CC-41C8-B9BE-3C9C571A8263}\ "ButtonText" = "Research" {DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\ "MenuText" = "Spybot - Search & Destroy Configuration" "CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}" -> {HKLM...CLSID} = "Spybot-S&D IE Protection" \InProcServer32\(Default) = "E:\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] {E2E2DD38-D088-4134-82B7-F2BA38496583}\ "MenuText" = "@xpsp3res.dll,-20001" "Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] All Non-Disabled Services (Display Name, Service Name, Path {Service DLL}): --------------------------------------------------------------------------- .NET Runtime Optimization Service v2.0.50727_X86, clr_optimization_v2.0.50727_32, "C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe" [MS] ASP.NET-Zustandsdienst, aspnet_state, "C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe" [MS] Automatische Konfiguration (verkabelt), Dot3svc, "C:\WINDOWS\System32\svchost.exe -k dot3svc" {"C:\WINDOWS\System32\dot3svc.dll" [MS]} Avira AntiVir Guard, AntiVirService, ""C:\Programme\Avira\AntiVir Desktop\avguard.exe"" ["Avira GmbH"] Avira AntiVir Planer, AntiVirSchedulerService, ""C:\Programme\Avira\AntiVir Desktop\sched.exe"" ["Avira GmbH"] Extensible Authentication-Protokolldienst, EapHost, "C:\WINDOWS\System32\svchost.exe -k eapsvcs" {"C:\WINDOWS\System32\eapsvc.dll" [MS]} Integritätsschlüssel- und Zertifikatverwaltungsdienst, hkmsvc, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\kmsvc.dll" [MS]} MSCSPTISRV, MSCSPTISRV, ""C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe"" ["Sony Corporation"] NAP-Agent (Network Access Protection), napagent, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\qagentrt.dll" [MS]} NVIDIA Display Driver Service, nvsvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"] PACSPTISVR, PACSPTISVR, ""C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe"" ["Sony Corporation"] Portable Media Serial Number Service, WmdmPmSN, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\system32\MsPMSNSv.dll" [MS]} Sony SPTI Service, SPTISRV, ""C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe"" ["Sony Corporation"] Verwaltungsdienst für die Verwaltung logischer Datenträger, dmadmin, "C:\WINDOWS\System32\dmadmin.exe /com" ["Microsoft Corp., Veritas Software"] Windows Driver Foundation - User-mode Driver Framework, WudfSvc, "C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup" {"C:\WINDOWS\System32\WUDFSvc.dll" [MS]} Windows Presentation Foundation Font Cache 3.0.0.0, FontCache3.0.0.0, "C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe" [MS] Windows-Remoteverwaltung (WS-Verwaltung), WinRM, "C:\WINDOWS\System32\svchost.exe -k WinRM" {"C:\WINDOWS\system32\WsmSvc.dll" [MS]} WMI-Leistungsadapter, WmiApSrv, "C:\WINDOWS\system32\wbem\wmiapsrv.exe" [MS] Print Monitors: --------------- HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\ doPDF 6 Monitor\Driver = "dopdfmn6.dll" ["Softland"] EPSON SX100 Series 32MonitorBE\Driver = "E_FLBEDE.DLL" ["SEIKO EPSON CORPORATION"] ---------- (launch time: 2010-07-25 14:46:42) <<!>>: Suspicious data at a malware launch point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 34 seconds, including 6 seconds for message boxes) |
Jetzt passt es endlich alles auf eine Seite. E-Scan Ergebnis ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2008.03.07 Microsoft Windows XP [Version 5.1.2600] Bootmodus: Normal eScan Version: 11.0.86 Sprache: German C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\MWAV.LOG ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\System Volume Information\_restore{8C305228-A204-48B0-B8FC-58289DE9C0F8}\RP15\A0001884.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei G:\System Volume Information\_restore{8C305228-A204-48B0-B8FC-58289DE9C0F8}\RP18\A0014665.exe ist durch den Virus "Trojan.Generic.2528214 (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei G:\System Volume Information\_restore{8C305228-A204-48B0-B8FC-58289DE9C0F8}\RP18\A0024542.exe ist durch den Virus "Trojan.Generic.2528214 (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\WINDOWS\system32\choice.exe ist durch den Virus "Gen:Trojan.Heur.TP.dmW@be3bvZl (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\WINDOWS\system32\psconv.exe ist durch den Virus "Gen:Trojan.Heur.TP.cmW@be2g5an (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\WINDOWS\system32\regplib.exe ist durch den Virus "Gen:Trojan.Heur.TP.aiW@bynnpDl (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\WINDOWS\system32\webfldrs.msi ist durch den Virus "Gen:Trojan.Heur.GZ.kqX@bK@D@Eni (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\super_pi_mod-1.5.zip ist durch den Virus "Gen:Trojan.Heur.TP.gmZ@by590qp (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\MSOCache\All Users\{90120000-0030-0000-0000-0000000FF1CE}-C\EnterpriseWW.msi ist durch den Virus "Gen:Trojan.Heur.GZ.ciW@bKLkEge (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\Programme\InstallShield Installation Information\{2F151B50-B434-4838-B51D-70442EBA093E}\shutdown.exe ist durch den Virus "Gen:Trojan.Heur.GZ.cmW@bq4XXcf (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\Programme\RebirthRO\RebirthRO.exe ist durch den Virus "Gen:Trojan.Heur.TP.duW@baEb!!hi (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\Programme\WinRAR\RarExtLoader.exe ist durch den Virus "Gen:Trojan.Heur.GZ.hqW@b0vcQfe (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\System Volume Information\_restore{8C305228-A204-48B0-B8FC-58289DE9C0F8}\RP15\A0001884.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\System Volume Information\_restore{8C305228-A204-48B0-B8FC-58289DE9C0F8}\RP15\A0001885.exe ist durch den Virus "Gen:Trojan.Heur.GZ.emW@bCwP@zi (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\System Volume Information\_restore{8C305228-A204-48B0-B8FC-58289DE9C0F8}\RP18\A0005217.exe ist durch den Virus "Gen:Trojan.Heur.TP.aiW@bynnpDl (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\System Volume Information\_restore{8C305228-A204-48B0-B8FC-58289DE9C0F8}\RP18\A0005227.exe ist durch den Virus "Gen:Trojan.Heur.TP.cmW@be2g5an (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\System Volume Information\_restore{8C305228-A204-48B0-B8FC-58289DE9C0F8}\RP18\A0006631.exe ist durch den Virus "Gen:Trojan.Heur.TP.gmZ@by590qp (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\System Volume Information\_restore{8C305228-A204-48B0-B8FC-58289DE9C0F8}\RP18\A0015115.msi ist durch den Virus "Gen:Trojan.Heur.GZ.cmW@b8jRrqd (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\System Volume Information\_restore{8C305228-A204-48B0-B8FC-58289DE9C0F8}\RP18\A0025594.exe ist durch den Virus "Gen:Trojan.Heur.GZ.NmLfbe7s2AgG (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\WINDOWS\Installer\29b02.msi ist durch den Virus "Gen:Trojan.Heur.GZ.kqX@bK@D@Eni (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\WINDOWS\Installer\d6aeb.msi ist durch den Virus "Gen:Trojan.Heur.GZ.ciW@bKLkEge (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\WINDOWS\Installer\d6de79.msp ist durch den Virus "Gen:Trojan.Heur.TP.dmW@ba4zuQg (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\WINDOWS\Installer\{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}\places.exe ist durch den Virus "Gen:Trojan.Heur.GZ.kqX@bK@D@Eni (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\WINDOWS\system32\choice.exe ist durch den Virus "Gen:Trojan.Heur.TP.dmW@be3bvZl (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\WINDOWS\system32\dllcache\imjpinst.exe ist durch den Virus "Gen:Trojan.Heur.GZ.mmX@bywB78n (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\WINDOWS\system32\psconv.exe ist durch den Virus "Gen:Trojan.Heur.TP.cmW@be2g5an (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\WINDOWS\system32\regplib.exe ist durch den Virus "Gen:Trojan.Heur.TP.aiW@bynnpDl (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\WINDOWS\system32\webfldrs.msi ist durch den Virus "Gen:Trojan.Heur.GZ.kqX@bK@D@Eni (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei F:\System Volume Information\_restore{8C305228-A204-48B0-B8FC-58289DE9C0F8}\RP18\A0016565.exe ist durch den Virus "Gen:Trojan.Heur.GZ.JmKfbSosrvni (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei G:\Open Office\java\jre-windows-i586.exe ist durch den Virus "Gen:Trojan.Heur.GZ.emW@bm@ckPf (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei G:\Open Office\JRE\jre-windows-i586.exe ist durch den Virus "Gen:Trojan.Heur.GZ.emW@bm@ckPf (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei G:\System Volume Information\_restore{8C305228-A204-48B0-B8FC-58289DE9C0F8}\RP18\A0014665.exe ist durch den Virus "Trojan.Generic.2528214 (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei G:\System Volume Information\_restore{8C305228-A204-48B0-B8FC-58289DE9C0F8}\RP18\A0024542.exe ist durch den Virus "Trojan.Generic.2528214 (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei G:\System Volume Information\_restore{8C305228-A204-48B0-B8FC-58289DE9C0F8}\RP18\A0025163.exe ist durch den Virus "Gen:Trojan.Heur.GZ.NmLfbe7s2AgG (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei G:\WinRar\Uninstall.exe ist durch den Virus "Gen:Trojan.Heur.TP.gCW@bKxvMNfc (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\unins000.exe Offending file found: C:\WINDOWS\unins000.exe ~~~~~~~~~~~ ~~~~ Spyware (Vorsicht: Oft Fehlalarm!) ~~~~~~~~~~~ eScan-Antiviren- und Antispyware-Werkzeugsatz. Antiviren- und Antispywaredatenbanken werden heruntergeladen... Indexed Spyware Databases Successfully Created... eScan-Antiviren- und Antispyware-Werkzeugsatz. Scannen Spyware: Aktiviert ***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) geprüft ***** Indexed Spyware Databases Successfully Created... System found infected with User Account Control (Fake) Spyware/Adware (unins000.exe)! Action taken: Keine Maßnahme ergriffen. System found infected with combo Spyware/Adware (HKUS\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\New Windows)! Action taken: Keine Maßnahme ergriffen. eScan-Antiviren- und Antispyware-Werkzeugsatz. Antiviren- und Antispywaredatenbanken werden heruntergeladen... eScan-Antiviren- und Antispyware-Werkzeugsatz. Scannen Spyware: Aktiviert ***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) geprüft ***** Indexed Spyware Databases Successfully Created... System found infected with User Account Control (Fake) Spyware/Adware (unins000.exe)! Action taken: Keine Maßnahme ergriffen. System found infected with combo Spyware/Adware (HKUS\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\New Windows)! Action taken: Keine Maßnahme ergriffen. ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ laufende Prozesse - commandline ~~~~~~~~~~~~~~~~~~~~~~ System Idle Process - System - smss.exe - \SystemRoot\System32\smss.exe csrss.exe - winlogon.exe - winlogon.exe services.exe - C:\WINDOWS\system32\services.exe lsass.exe - C:\WINDOWS\system32\lsass.exe svchost.exe - C:\WINDOWS\system32\svchost -k DcomLaunch svchost.exe - svchost.exe - C:\WINDOWS\system32\svchost.exe -k netsvcs svchost.exe - svchost.exe - explorer.exe - C:\WINDOWS\Explorer.EXE firefox.exe - "G:\Firefox\firefox.exe" plugin-container.exe - "G:\Firefox\plugin-container.exe" --channel=552.3d52120.71657480 "C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll" 552 plugin \\.\pipe\gecko-crash-server-pipe.552 cmd.exe - cmd /c ""C:\Dokumente und Einstellungen\Administrator\Desktop\find.bat" " cscript.exe - cscript C:\escan\prclst.vbs //nologo wmiprvse.exe - ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts: C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 localhost ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\Administrator\Desktop\mwav.exe!!! Zeit überschritten beim Scannen von C:\MSOCache\All Users\{90120000-0015-0407-0000-0000000FF1CE}-C\AccLR.cab!!! Zeit überschritten beim Scannen von C:\MSOCache\All Users\{90120000-0030-0000-0000-0000000FF1CE}-C\EnterWW.cab!!! Zeit überschritten beim Scannen von C:\MSOCache\All Users\{90120000-0044-0407-0000-0000000FF1CE}-C\InfLR.cab!!! Zeit überschritten beim Scannen von C:\MSOCache\All Users\{90120000-006E-0407-0000-0000000FF1CE}-C\OfficeLR.cab!!! Zeit überschritten beim Scannen von !!! Zeit überschritten beim Scannen von C:\System Volume Information\_restore{8C305228-A204-48B0-B8FC-58289DE9C0F8}\RP18\A0018111.exe!!! Zeit überschritten beim Scannen von C:\System Volume Information\_restore{8C305228-A204-48B0-B8FC-58289DE9C0F8}\RP18\A0023218.exe!!! Zeit überschritten beim Scannen von C:\System Volume Information\_restore{8C305228-A204-48B0-B8FC-58289DE9C0F8}\RP18\A0025597.exe!!! Zeit überschritten beim Scannen von C:\WINDOWS\Driver Cache\i386\driver.cab!!! Zeit überschritten beim Scannen von C:\WINDOWS\Installer\d6bfb.msp!!! Zeit überschritten beim Scannen von F:\Abgeschlossene Downloads\Pokemon Desteny Deox\pdd.part01.rar!!! Zeit überschritten beim Scannen von G:\Open Office\openofficeorg1.cab!!! Zeit überschritten beim Scannen von G:\Photo Shop\Photoshop_Portable_11.0_En-Fr-De-It-Es.paf.exe!!! Zeit überschritten beim Scannen von G:\System Volume Information\_restore{8C305228-A204-48B0-B8FC-58289DE9C0F8}\RP18\A0024540.exe!!! Zahl der gescannten Objekte: 155668 Zahl der kritischen Objekte: 3 Zahl der desinfizierten Objekte: 0 Zahl der umbenannten Objekte: 0 Zahl der gelöschten Objekte: 0 Zeit verstrichen: 00:50:47 Zahl der gescannten Objekte: 154924 Zahl der kritischen Objekte: 32 Zeit verstrichen: 00:45:35 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Speicherüberprüfung: Aktiviert Überprüfung der Registrierungsdatenbank: Aktiviert Überprüfung des Startordners: Aktiviert Überprüfung des Systemordners: Aktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Laufwerke: Deaktiviert Überprüfung aller Laufwerke:Aktiviert Überprüfung der Ordner: Deaktiviert Batchstart: 19:09:58,73 Batchende: 19:10:08,21 |
Und die Auswertung von Silent Runners danach. "Silent Runners.vbs", revision 61, hxxp://www.silentrunners.org/ Operating System: Windows XP SP3 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "avgnt" = ""C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min /nosplash" ["Avira GmbH"] "RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."] "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "SsAAD.exe" = "G:\Sony\SsAAD.exe" [null data] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {18DF081C-E8AD-4283-A596-FA578C2EBDC3}\(Default) = "AcroIEHelperStub" -> {HKLM...CLSID} = "Adobe PDF Link Helper" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll" ["Adobe Systems Incorporated"] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {HKLM...CLSID} = "Spybot-S&D IE Protection" \InProcServer32\(Default) = "E:\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] {DBC80044-A445-435b-BC74-9C25C1C588A9}\(Default) = (no title provided) -> {HKLM...CLSID} = "Java(tm) Plug-In 2 SSV Helper" \InProcServer32\(Default) = "C:\Programme\Java\jre6\bin\jp2ssv.dll" ["Sun Microsystems, Inc."] {E7E6F031-17CE-4C07-BC86-EABFE594F69C}\(Default) = "JQSIEStartDetectorImpl" -> {HKLM...CLSID} = "JQSIEStartDetectorImpl Class" \InProcServer32\(Default) = "C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll" ["Sun Microsystems, Inc."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{EFA24E62-B078-11d0-89E4-00C04FC9E26E}" = "History Band" -> {HKLM...CLSID} = "History Band" \InProcServer32\(Default) = "C:\WINDOWS\system32\shdocvw.dll" [MS] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" ["Alexander Roshal"] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\msohevi.dll" [MS] "{993BE281-6695-4BA5-8A2A-7AACBFAAB69E}" = "Microsoft Office Metadata Handler" -> {HKLM...CLSID} = "Microsoft Office Metadata Handler" \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS] "{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97}" = "Microsoft Office Thumbnail Handler" -> {HKLM...CLSID} = "Microsoft Office Thumbnail Handler" \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\Programme\NVIDIA Corporation\nView\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\NVIDIA Corporation\nView\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\Programme\NVIDIA Corporation\nView\nvshell.dll" ["NVIDIA Corporation"] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir Desktop\shlext.dll" ["Avira GmbH"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ "WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}" -> {HKLM...CLSID} = "WPDShServiceObj Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS] HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\ <<!>> text/xml\CLSID = "{807563E5-5146-11D5-A672-00B0D022E945}" -> {HKLM...CLSID} = "Microsoft Office InfoPath XML Mime Filter" \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL" [MS] HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\ <<!>> ms-help\CLSID = "{314111c7-a502-11d2-bbca-00c04f8ec294}" -> {HKLM...CLSID} = "HxProtocol Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll" [MS] HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ MyPhoneExplorer\(Default) = "{A372C6DF-7A85-41B1-B3B0-D1E24073DCBF}" -> {HKLM...CLSID} = "MyPhoneExplorer_ShellEx.ShellExt" \InProcServer32\(Default) = "G:\MyPhoneExplorer\DLL\ShellMgr.dll" ["F.J. Wechselberger"] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir Desktop\shlext.dll" ["Avira GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" ["Alexander Roshal"] HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" ["Alexander Roshal"] HKLM\SOFTWARE\Classes\Directory\shellex\DragDropHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" ["Alexander Roshal"] HKLM\SOFTWARE\Classes\Directory\Background\shellex\ContextMenuHandlers\ 00nView\(Default) = "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\Programme\NVIDIA Corporation\nView\nvshell.dll" ["NVIDIA Corporation"] NvCplDesktopContext\(Default) = "{A70C977A-BF00-412C-90B7-034C51DA2439}" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir Desktop\shlext.dll" ["Avira GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" ["Alexander Roshal"] HKLM\SOFTWARE\Classes\Folder\shellex\DragDropHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" ["Alexander Roshal"] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ "ForceClassicControlPanel" = (REG_DWORD) dword:0x00000001 {unrecognized setting} "NoRecentDocsMenu" = (REG_DWORD) dword:0x00000001 {unrecognized setting} "NoRecentDocsHistory" = (REG_DWORD) dword:0x00000001 {unrecognized setting} "NoSMMyPictures" = (REG_DWORD) dword:0x00000001 {User Configuration|Administrative Templates|Start Menu and Taskbar| Remove My Pictures icon from Start Menu} "NoSMHelp" = (REG_DWORD) dword:0x00000001 {User Configuration|Administrative Templates|Start Menu and Taskbar| Remove Help menu from Start Menu} "NoSMConfigurePrograms" = (REG_DWORD) dword:0x00000001 {unrecognized setting} "NoDesktopCleanupWizard" = (REG_DWORD) dword:0x00000001 {unrecognized setting} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ "NoDesktopCleanupWizard" = (REG_DWORD) dword:0x00000001 {unrecognized setting} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Windows Portable Device AutoPlay Handlers ----------------------------------------- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\ MSWPDShellNamespaceHandler\ "Provider" = "@%SystemRoot%\System32\WPDShextRes.dll,-501" "CLSID" = "{A55803CC-4D53-404c-8557-FD63DBA95D24}" "InitCmdLine" = " " -> {HKLM...CLSID} = "WPDShextAutoplay" \LocalServer32\(Default) = "C:\WINDOWS\system32\WPDShextAutoplay.exe" [MS] SonyPlayCDAudioSonicStage\ "Provider" = "@G:\Sony\OmgjboxRes.dll,-57344" "InvokeProgID" = "SonyAudioCDSonicStage" "InvokeVerb" = "play" HKLM\SOFTWARE\Classes\SonyAudioCDSonicStage\shell\play\command\(Default) = "G:\Sony\Omgjbox.exe /cdplay -"%L"" ["Sony Corporation"] SonyRecCDAudioSonicStage\ "Provider" = "@G:\Sony\OmgjboxRes.dll,-57344" "InvokeProgID" = "SonyAudioCDRecSonicStage" "InvokeVerb" = "play" HKLM\SOFTWARE\Classes\SonyAudioCDRecSonicStage\shell\play\command\(Default) = "G:\Sony\Omgjbox.exe /cdrecord -"%L"" ["Sony Corporation"] SonySonicStageBurnCDOnArrival\ "Provider" = "@G:\Sony\OmgjboxRes.dll,-57344" "InvokeProgID" = "SonyBurnCDSonicStage" "InvokeVerb" = "open" HKLM\SOFTWARE\Classes\SonyBurnCDSonicStage\shell\open\command\(Default) = "G:\Sony\Omgjbox.exe" ["Sony Corporation"] Startup items in "Administrator" & "All Users" startup folders: --------------------------------------------------------------- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart "Trillian" -> shortcut to: "G:\Trillian\trillian.exe" ["Cerulean Studios"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 00000000000#\PackedCatalogItem (contains) DLL [Company Name], (at) # range: %SystemRoot%\system32\mswsock.dll [MS], 1 - 3, 6 %SystemRoot%\system32\rsvpsp.dll [MS], 4 - 5 Toolbars, Explorer Bars, Extensions: ------------------------------------ Explorer Bars HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\ HKLM\SOFTWARE\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren" Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL" [MS] Extensions (Tools menu items, main toolbar menu buttons) HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\ {92780B25-18CC-41C8-B9BE-3C9C571A8263}\ "ButtonText" = "Research" {DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\ "MenuText" = "Spybot - Search & Destroy Configuration" "CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}" -> {HKLM...CLSID} = "Spybot-S&D IE Protection" \InProcServer32\(Default) = "E:\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] {E2E2DD38-D088-4134-82B7-F2BA38496583}\ "MenuText" = "@xpsp3res.dll,-20001" "Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] All Non-Disabled Services (Display Name, Service Name, Path {Service DLL}): --------------------------------------------------------------------------- .NET Runtime Optimization Service v2.0.50727_X86, clr_optimization_v2.0.50727_32, "C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe" [MS] ASP.NET-Zustandsdienst, aspnet_state, "C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe" [MS] Automatische Konfiguration (verkabelt), Dot3svc, "C:\WINDOWS\System32\svchost.exe -k dot3svc" {"C:\WINDOWS\System32\dot3svc.dll" [MS]} Avira AntiVir Guard, AntiVirService, ""C:\Programme\Avira\AntiVir Desktop\avguard.exe"" ["Avira GmbH"] Avira AntiVir Planer, AntiVirSchedulerService, ""C:\Programme\Avira\AntiVir Desktop\sched.exe"" ["Avira GmbH"] Extensible Authentication-Protokolldienst, EapHost, "C:\WINDOWS\System32\svchost.exe -k eapsvcs" {"C:\WINDOWS\System32\eapsvc.dll" [MS]} Integritätsschlüssel- und Zertifikatverwaltungsdienst, hkmsvc, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\kmsvc.dll" [MS]} MSCSPTISRV, MSCSPTISRV, ""C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe"" ["Sony Corporation"] NAP-Agent (Network Access Protection), napagent, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\qagentrt.dll" [MS]} NVIDIA Display Driver Service, nvsvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"] PACSPTISVR, PACSPTISVR, ""C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe"" ["Sony Corporation"] Portable Media Serial Number Service, WmdmPmSN, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\system32\MsPMSNSv.dll" [MS]} Sony SPTI Service, SPTISRV, ""C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe"" ["Sony Corporation"] Verwaltungsdienst für die Verwaltung logischer Datenträger, dmadmin, "C:\WINDOWS\System32\dmadmin.exe /com" ["Microsoft Corp., Veritas Software"] Windows Driver Foundation - User-mode Driver Framework, WudfSvc, "C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup" {"C:\WINDOWS\System32\WUDFSvc.dll" [MS]} Windows Presentation Foundation Font Cache 3.0.0.0, FontCache3.0.0.0, "C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe" [MS] Windows-Remoteverwaltung (WS-Verwaltung), WinRM, "C:\WINDOWS\System32\svchost.exe -k WinRM" {"C:\WINDOWS\system32\WsmSvc.dll" [MS]} WMI-Leistungsadapter, WmiApSrv, "C:\WINDOWS\system32\wbem\wmiapsrv.exe" [MS] Print Monitors: --------------- HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\ doPDF 6 Monitor\Driver = "dopdfmn6.dll" ["Softland"] EPSON SX100 Series 32MonitorBE\Driver = "E_FLBEDE.DLL" ["SEIKO EPSON CORPORATION"] ---------- (launch time: 2010-07-25 19:13:03) <<!>>: Suspicious data at a malware launch point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 28 seconds, including 4 seconds for message boxes) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:39 Uhr. |
Copyright ©2000-2025, Trojaner-Board